Vorbereitung auf die Prüfung nach IT-Sicherheitskatalog aus EnWG §11 (1b)
Betreiber von Energieanlagen nach EnWG §11, die nach der Kritis-Verordnung zu den Kritischen Infrastrukturen gehören, müssen den von der BNetzA herausgegebenen IT-Sicherheitskatalog bis spätestens zum 31.03.2021 umsetzen. Dies bedeutet insbesondere, dass Anlagenbetreiber die Umsetzung dieser Anforderungen durch eine externe Zertifizierungsstelle zertifizieren lassen müssen.
TTS hat in den letzten Jahren bereits eine Vielzahl von Unternehmen, u. a. Strom- und Gasnetzbetreiber, Speicherbetreiber, Lieferanten von Regelenergie, virtuelle Kraftwerke oder Direktvermarkter auf solch externe Prüfungen vorbereitet und erfolgreich durch die Zertifizierung begleitet. Wichtig anzumerken ist, dass mit der Zertifizierung die Aufgaben nicht enden, sondern die getroffenen Maßnahmen in der Regel weiter verbessert und optimiert werden müssen. Auch hier begleitet TTS heute eine Reihe namhafter Unternehmen während des Betriebs mit ihrer Fachkompetenz.
Auf Wunsch können wir Ihnen gerne Kontakt zu einer Vielzahl von Ansprechpartnern auf Kundenseite vermitteln oder Sie kommen direkt zu einer unserer regelmäßig stattfindenden Kundenveranstaltungen.
Als Kern der Anforderungen ist wie bei den Netzbetreibern ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 umzusetzen. Anders aber als bei den Netzbetreibern ist hier der Anwendungsbereich für das ISMS durch ein Schutzzonenkonzept zu ermitteln. Dabei müssen sämtliche TK- und IT-Systeme einer Anlage in eine von 6 Schutzzonen nach festgelegten Kriterien eingeteilt werden. Generell lässt sich sagen, dass wie auch bei den Netzbetreibern die Anforderungen an ein ISMS nach ISO 27001 und die Anforderungen des IT-Sicherheitskataloges nach 1b nicht immer konsistent sind, die Umsetzung in der externen Prüfung aber konsistent vermittelt werden muss.
Im Schaubild ist das Phasenmodell des TTS Projektkonzeptes zur Umsetzung des IT-Sicherheitskataloges dargestellt.
IT-Sicherheitskatalog aus EnWG §11 (1b) im Detail:
Projekt Setup
Während des Projekt Setups wird zum einen die Projektorganisation etabliert, Stakeholder identifiziert und eine Gap-Analyse durchgeführt. Darüber hinaus wird aber auch der Umfang der Kritischen Infrastruktur ermittelt, in dem eine Einteilung der TK- und IT-Systeme in 6 Sicherheitszonen vorgenommen wird.
Managementsystem
In dieser Phase wird das eigentliche Managementsystem etabliert, indem die Aufbau- und Ablauforganisation für das ISMS erarbeitet und dokumentiert wird und das ISMS Top Management eingebunden wird.
IS-Risikomanagement
Auf Basis der Sicherheitszonen werden sämtliche relevanten Werte im Anwendungsbereich inventarisiert und bzgl. ihres Schutzbedarfes bewertet. Anschließend werden IS-Risiken (Informationssicherheitsrisiken) analysiert und Maßnahmenbehandlungen festgelegt. Die TTS-Methodik für das IS-Risikomanagement ist – wie im Sicherheitskatalog empfohlen, konform zu ISO 27005 und 31000. Bei der Festlegung der Maßnahmen müssen und werden die Maßnahmen aus der ISO 27002, 27019 sowie aus dem BDEW Whitepaper und dem VGB S-175 herangezogen.
Implementierung
In der Implementierungsphase wird begonnen, die Maßnahmen aus den Risikoanalysen umzusetzen, sowie das ISMS in umgebende Prozesse wie Personal, Dienstleistersteuerung oder BCM zu integrieren. Der Sicherheitskatalog fordert hier ja, mindestens insoweit alle Maßnahmen für die Schutzzone 1 umzusetzen, dass höchsten ein mittleres Risikoniveau verbleibt. Weiterhin werden die definierten ISMS-Prozesse umgesetzt und nach und nach der ISMS-Betrieb aufgenommen.
ISMS-Betrieb
In der Betriebsphase wird das ISMS sowie die umgesetzten Maßnahmen bewertet, auditiert und mit dem ISMS Top Management eine Bewertung der Wirksamkeit und Effizienz des ISMS vorgenommen.
Zertifizierung
Mit der Zertifizierungsvorbereitung und –begleitung stellen wir einen optimalen Verlauf der externen Prüfung sicher.
Support
Nach der Zertifizierungsprüfung unterstützen wir Sie gerne weiter bei der Weiterentwicklung des ISMS und bei der weiteren Umsetzung der risikobehandelnden Maßnahmen.
TTS kann zusätzlich mit dem hauseigenen ISMS-Tool trax unterstützen. Dies ist keine Notwendigkeit für die Zertifizierung, vereinfacht aber auf lange Sicht den Betrieb des ISMS.
Wir erbringen für Sie die folgenden Dienstleistungen:
- Voranalyse, ob Sie zu den Kritischen Infrastrukturen zählen
- Analyse der Schutzzonen
Durchführung des IS-Risikomanagements - Aufbau des ISMS
- Vorbereitung und Unterstützung des ISMS-Betriebs
- Vorbereitung und Begleitung der
- Zertifizierung
- Unterstützung bei Betrieb und Weiterentwicklung des ISMS
Zur Besprechung des weiteren Vorgehens und für eine erste Aufwandsschätzung stehe ich Ihnen telefonsich gerne zur Verfügung oder schicken Sie einfach eine Mail.
Dr. Michael Gehrke: Mobil: +49 (0)171 8916081 / michael.gehrke@tts-security.com
Quick-Navigation
Mehr zum Thema Sicherheit
EU NIS2 Cyber Security – Ein Ausblick auf die neue europaweite Fassung
Welche Veränderungen ergeben sich mit der EU NIS2 für Betreiber kritischer Infrastrukturen?
Die Network and Information Security (NIS) Direktive, welche den Rahmen der
Anpassung der Konformitätsbewertungsprogramme zur Akkreditierung von Zertifizierungsstellen für die IT-Sicherheitskataloge nach § 11 Abs. 1a und 1b EnWG
Die Bundesnetzagentur hat die Konformitätsbewertungsprogramme zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Abs. 1a EnWG am 5. April 2022 und § 11
Was ändert sich durch das IT-Sicherheitsgesetz 2.0?
Über den gesamtgesellschaftlichen Schutz und eine resiliente Wirtschaft hinaus, soll die Novellierung des, im Jahre 2015 erstmals in Kraft getretenen…
Sicherheitskatalog EnWG §11 (1b)
Vorbereitung auf die Prüfung nach IT-Sicherheitskatalog aus EnWG §11 (1b) Betreiber von Energieanlagen nach EnWG §11, die nach der Kritis-Verordnung zu den Kritischen Infrastrukturen gehören,
Sicherheitskonzepte
Sicherheitskonzepte sind das Mittel der Wahl, um für ein zu schützendes Objekt oder einen Objektverbund, wie bspw. eine neues IT-System, eine Netzleitstelle, ein Netzwerk oder
Sicherheitskatalog
Im Sinne der Digitalen Agenda der Deutschen Bundesregierung reguliert das EnWG durch §8 Abs. a und b Energienetzbetreiber und Energieanlagenbetreiber über jeweilige IT-Sicherheitskataloge. Seit dem